Запрещает отображение скрытых файлов.
Запуск с системой обеспечивает себе с помощью ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe
Создает файлы метки в корне локальных дисков, файлы нулевой длинны (пустые) под названием "kht"
При наличии соединения с "Internet" связывается по следующему адресу:
Порт жертвы_________IP_________Удаленный порт
___2404________72.233.89.200 ____________80________
72.233.89.200 - US UNITED STATES US TEXAS PLANO LAYERED TECHNOLOGIES INC
Ссылка на описание IP
Расспостраняется по сети посредством сканирования удаленных хостов и наличия на них открытого tcp\445 порта.
При присоеденении "чистого" USB Flash-накопителя, копирует свое тело и файл запуска (random_name.exe) uawdmt.exe и Autorun.inf в корень USB-Flash
Инструкция автозапуска червя Autorun.inf:
************************************************************************
;nGIhYSFJxybXZUgAzTTIPCLCIPdQJtnGTdRrVRRxZFFdCvfGrHovnoZmA
;avfzViKVKrqDjrblAtaISvvQCGKwNxgMKFUZuBoFfewDQUEULebsABNhamzMiYidXVbcxKohg
;jteFHSalaBBxLniLxYKsRJVoQjThCnZjHhiJvzJWJBMUet
;SleBPbOpmCZMiQNYhBRYMyoUcj
[AutoRun]
;NtgFwopIIHLrGwnMWDiwTbxkOiDdsmUubBFayrFZFgrpgpzAUFApYmqWGGwruoczJIBz
;fbvpvmLmpleOCBKMSZQJxxWVlLnjDmRRQP
;xwfJnHQjYyGrRPlaSpVOUmSPczrXcmgnnlClrTKnoTJCXgBryLUOfhjGbUENV
;45F27A231FB2BAE1D81E002D083DBEAA8E8A0EE9B727D2C7BFC81571
;NQHYzB
open=uawdmt.exe
;bMxdnLDRIKtqkRAHIeUFagIcAsLlKyIBFdyYpRBnPkTPDWRJaSZKxQAYazTQcQRr
;vsYg
;TqGhBsLBrStLGCtbeyyOVMpWWHdugbvDcYUnsfFLQYuqs
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
;KqDKAXtQKajxUqCRPKrtxkevrcWLFuCWImQLigbV
;DhPZGrzvlONUwVCWFakXdsNzBilsmEWoOQTaQBiPVTALhDQIaeWqWIE
;mYaeuOdjVGCzavNk
action= @uawdmt.exe
;NolrtTegEJquwyWhemNdhMKKHUOL
;huozspcPTFrxsfIFiOLAcikTCPRQtYCXDAxwlwxskdeyPE
shell\open\Command=uawdmt.exe
;cWupueuWglMeftJKwSRowqRnWN
;sMxiozuaDpZQfGQMWBRktEAIZhlqKUxyGwgoXFqhmCuwtGOoEicTAmIqZVqgbrjssViFhNw
;OaLZpYJEfqYrOzAMAShqYhGOCUYhpfjTFlVdjOlQKPXMzOtaqfLreFwplqoe
;GEfxxrYjboRMftpZgOLpSeSfNqdYDPWNOfqOilc
;bnxttuoleLlFCnCyvsOt
;MxbSXjzuGzlWlfbWktFoRF
shell\open\Default=1
shell\explore\Command=uawdmt.exe
;xayyEXiYrohDOELQsqKnLjpPsnhEHnOcOMbGNYjOm
**********************************************************************
Если убрать мусор то получается вот такая инструкция автозапуска:
[AutoRun]
open=uawdmt.exe
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @uawdmt.exe
shell\open\Command=uawdmt.exe
shell\open\Default=1
shell\explore\Command=uawdmt.exe
Интересная особенность:
Если запустить файл червя на выполнение например на рабочем столе, то инсталляция в систему не произойдет, а если запустить файл червя на самой флешке, то начнется инсталляция червя в систему. Я так понимаю некая система безопасности (что б не сразу вычислили :) )
ЛЕЧЕНИЕ:
1) Отключаем сеть! (выдергиваем сетевой кабель из карты)
2) Отключаем восстановление системы идем по пути ПУСК>СВОЙСТВА МОЙ КОМПЬЮТЕР>ВКЛАДКА ВОССТАНОВЛЕНИЕ СИСТЕМЫ>СТАВИМ ГАЛКУ НА "ОТКЛЮЧИТЬ ВОССТАНОВЛЕНИЕ СИСТЕМЫ НА ВСЕХ ДИСКАХ" нажимаем ОК
3) Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe" Иначе не даст себя удалить в папке \system32
4) Так как отображение скрытых файлов заблокированно червем, нужно это дело восстановить. Качаем AVZ 4.3
Запускаем ее, далее кликаем > файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.
Отображение скрытых файлов восстановлено.
5) Далее заходим в любую папку, кликаем сервис > свойства папки > вкладка "Вид" ставим галку на "Отображать содержимое системных папок" > убираем галку на "Скрывать защищенные системные файлы" > ставим галку на "Показывать скрытые файлы и папки" > убираем галку на "Скрывать расширения для зарегестрированных типов файлов" и нажимаем "ОК" Теперь мы видим срытые файлы и системные папки.
6) Идем по пути Пуск>Мой компьютер>Локальный диск С:\WINDOWS\system32\
Находим и удаляем файл червя csrcs.exe (не перепутайте с csrss.exe это системный файл!!)
7) Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD Качаем например Hiren's BootCD 9.9 в нем есть Windows Live CD При загрузке Hiren'sa его можно выбрать для запуска, на мой взгляд самый быстрый. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки)
8) Далее качаем файл реестра, для отключения автозапуска с флешек ЗДЕСЬ Нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы нажатием на кнопку "ОК" После этого обязательно перезагружаем систему!!!
9) Присоединяем флешки к компьютеру, которые как Вы думаете могут быть заражены.
10) Открываем флешку, и смотрим ее на предмет зараженности.
Ищем и удаляем в корне флеш накопителя файл запуска вируса "Autorun.inf"
Ищем и удаляем в корне флеш накопителя файл наподобии "uawdmt.exe" (случайное имя.ехе)
11) Заходим на каждый раздел жесткого диска и удаляем файлы под названием "kht"
12) Далее правим ключи реестра которые изменил червь:
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)
Если боитесь страшного слова "СИСТЕМНЫЙ РЕЕСТР" можете воспользоваться написанным мною скриптом, для восстановления изменений в реестре сделанных червем скачать ЗДЕСЬ
Если не почистить реестр в ручную или не исправить ключ реестра с помощью скрипта то при каждом запуске Windows система будет выдавать сообщение
13) Включаем восстановление системы.
14) Перезагружаем операционную систему.
Все система чиста!
Профилактика:
Просто скачайте и установите в систему и на флеш накопители мою последнюю версию комплексной защиты против вирусов типа Autoruner ЗДЕСЬ
К слову данный червь, ломает зубы об мою защиту! атрибуты скрытый системный снимает с защитной папки Autorun.inf а вот удалить ее не может :) копирует на флешку только себя, но толку? Заразить он уже не сможет систему без файла запуска, он будет просто тихонечко лежать до ближайшего антивируса :)
Профилактика для скептиков относительно моей защиты ЗДЕСЬ :)
© Нестеров Игорь Владимирович 2009 год
14 комментариев:
Спасибо дружище, очень подробно!!!
Завтра испытаю на 7-ми компах Kido вчера поборол под вечер эта зараза выплыла. Думаю скошу, я примерно так и планировал поступать, можешь еще добавить в статью чтобы люди отключали адм $ ресурсы тоже полезно.
To Blogger pavel-rimsky
Да, черви данного семейства для расспотранения по сети используют 445 порт TCP (шары) Но! Насколько Вы знаете админ с пустым паролем по сети на админскую шару не сможет зайти. Нужен пароль, но у большинства он не стоит ))) А у кого стоит пароль, так его еще нужно подобрать, единственное что хочу посоветовать остальным, это ставить хорошие пароли на учетку администратора и гостя, а еще лучше отключить их.
Вопрос маленький: после установки иммунизирующего батника на некоторых компах стали менять ся буквы дисков. Меняю их обратно, но после перезагузки системы букыв опять меняются.В чём может быть дело?
Вопрос маленький: после установки иммунизирующего батника на некоторых компах стали меняться буквы дисков. Меняю их обратно, но после перезагузки системы буквы опять меняются.В чём может быть дело?
Ответ:
Никаких инструкций по постоянному изменению букв, или меток дисков в батниках не используется, это Вы можете просмотреть и сами, код простой. Ищите причину в системе.
Большое Вам спасибо! Nod32 все проспал, а Avira нашел и удалил, я даже не уловила этого момента до тех пор, пока не увидела это дурацкое окно,а этот чудо скрипт все исправил.
Прошу помощи. Подципил несколько вирусов , почистил авирой. Осталась проблема белый лист закрывает заставку рабочего стола. Думал на CSRCS.EXE. При запуске системы всплывает окно что виндовс не может его найти. Воспользовался вашим скриптом, для восстановления изменений в рэестре. Окно пропало но лист остался. Делал поиск с учетом скрытых, системних файлов и папок ( в св-ах файлов и папок галочки соответственно) ничего не нашел. Видимо это последствия другого вируса? Под каким именем его найти и где? Или это повреждены файлы системы?
Ув. Игорь ваш вопрос:
Прошу помощи. Подципил несколько вирусов , почистил авирой. Осталась проблема белый лист закрывает заставку рабочего стола. Думал на CSRCS.EXE. При запуске системы всплывает окно что виндовс не может его найти. Воспользовался вашим скриптом, для восстановления изменений в рэестре. Окно пропало но лист остался. Делал поиск с учетом скрытых, системних файлов и папок ( в св-ах файлов и папок галочки соответственно) ничего не нашел. Видимо это последствия другого вируса? Под каким именем его найти и где? Или это повреждены файлы системы?
Ответ:
Для полного удостоверения что система чиста, просканируйте ее полностью Загрузочным диском от Dr.Web
Опишите более подробно что означает "белый лист закрывает заставку рабочего стола" я не совсем понимаю о чем ВЫ, постарайтесь более детально описать что это именно.
В любом случае для начала полное сканирование с загрузочного диска от Доктор Вэб ссылка на скачку http://www.freedrweb.com/livecd/
О том как им пользоваться если Вы не знаете детально написано в моей статье "Как лечить вирусы или простейший способ лечения вирусов"
Выполните для начала это, потом будем разбираться дальше.
Хорошая статья. Действительно было интересно почитать. Не часто такое и встречается та.Наверное стоит подписаться на ваше RSS
Всё хорошо. НО...
после установки Autoruner в каждый раздел жесткого диска не запускается вторая операционная система windows xp, стоящая в отдельном разделе жесткого диска.
При запуске этой системы появляется стандартный синий экран с эмблемой Microsoft windows xp professional, но далее всё зависает на этой картинке. При этом на экране есть указатель мыши и больше ничего нельзя сделать. Перегрузить можно только принудительно кнопкой, клавиатура не работает. При этом первая система, тоже windows xp, работает нормально.
Ув. Аноним более детально опишите суть проблемы, что вы установили, после чего пошел збой загрузки второй оси? Что значит после установки Autoruner в каждый раздел жесткого диска??
Жесткий диск разбит на три.
На диске С система работает, а на диске Е начинает загружаться,доходит до синего экрана с эмблемой Microsoft windows xp и всё на этом.
После чистки компа и своих флеш от "CSRCS.EXE", установил защиту, как у вас написано выше, на каждый из трёх разделов жесткого диска то есть С, D и Е. OS - разные. НА С нормально всё, здесь windows xp pro SP3.
На Е - windows xp pro GOLD SP2.
Какую защиту? "Stop_Flash_infect_For_PC_by_FagotAdmin v1.1" ??
Cбой загрузки второй оси произошел после лечения компа и флеш носителей от вируса “CSRCS.EXE” и установки на комп и на флеш накопители версию комплексной защиты против вирусов типа Autoruner.
После установки Autoruner в каждый раздел жесткого диска – это значит:
Жесткий диск разбит на три раздела (диски С, D, E ).
На диске С всё нормально, на диске Е происходит сбой.
Система начинает грузиться и зависает на синем экране с эмблемой “microsoft windows xp”.
Сборки разные. На С: windows xp professional service pack 3 версия 2002.
На Е: Gold windows xp professional service pack 2.
Всё делал по Вашему описанию с чисткой регистра и т.д.
Регистры чистил вручную, сначала на С, затем заходил с диска Е.
То есть каждая система чистилась отдельно.
Как Вы думаете, в чем здесь дело?
Именно так:
Stop_Flash_infect_For_PC_&_USB_FLash_Drive_by_FagotAdmin v1.1
Мне кажется что Вы повредили реестр второй оси, именно в разделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe
или
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe,
Еще проверьте все ли файлы есть во второй оси для ее загрузки
ntldr
NTDETECT.COM
MSDOS.SYS
IO.SYS
это в корне С:\
Пересмотрите ветки реестра которые вы правили во второй ОС и наличие файлов в корне раздела второй ОС
Если все в порядке то
Далее удали защиту Autoruner, и при загрузке второй ОС попробуй зайди в ее безопасный режим, если же не получится, то попытайся зайти в последнюю нормальную конфигурацию загрузки второй ОС
После этого если дело не поправишь, тогда наверно подключусь удаленно посмотрю сам.
Отправить комментарий